0

保护 json 响应的最佳方法是什么?

我们进行地址验证,它是来自 json 格式的 Web 服务的响应。我们希望得到这样的回应。

有一些提及,使用“while(1)”来导致无限循环,我很想知道其他经过验证的真实方法。

基于: http: //lab.gsi.dit.upm.es/semanticwiki/index.php/JSON_Hijacking_%28aka_JavaScript_Hijacking%29

http://capec.mitre.org/data/definitions/111.html

更新

好的,一个更具体的问题可能是哪些浏览器容易受到这种类型的注入攻击?

并通过 ssl 返回 json 并确保它的语法正确(而不仅仅是一个数组)足以提供安全保障?

4

2 回答 2

0

我会做些什么来防止这种攻击(如果我理解你的问题正确的话)如下:

防止 cookie 对 javascript 可用。在 PHP 中设置 cookie 时,您可以选择阻止这种情况:

setcookie ('cookie_name', 'value', 1200, '/path', 'www.example.com', true, true);

最后一个 true 意味着 javascript 无法访问。

除了防止您的 cookie 被盗外,您应该始终使用CSRF保护。

这可以通过生成一个随机令牌来完成,并且只允许使用该随机令牌完成请求。

于 2012-04-19T19:23:37.250 回答
0

您可以查看https://github.com/chriso/node-validator/blob/master/lib/xss.js上的代码。我发现它在防止 xss 类型攻击的检查类型方面非常彻底。

于 2012-04-19T18:57:44.883 回答